Хранение эцп журнал. Как хранить юридически значимые электронные документы? Какие бывают ключи

Электронная подпись сегодня используется для защиты документа, существующего в электронном виде, от подделки. На основании ФЗ №63 , ее возможно использовать для защиты электронной версии документов и при работе с различными государственными структурами. В этом законе прописано, как использовать ее и получать физическим и юридическим лицам. Как пользоваться электронной подписью

Электронная подпись является инструментом для установления отсутствия искажения в документах с момента подписи. Перед ее использованием пользователю требуется пройти процедуру соответствующего сертификата. Специальный сертификат является подтверждением принадлежности подписи физическому или юридическому лицу. Получить такой документ возможно только в специализированных удостоверяющих центрах или у их доверенных представителей. Существует два вида ключей для электронной подписи:

1. Закрытого типа.
2. Открытого типа.

Что такое электронная подпись

В случае с закрытым ключом или паролем к доступу для данной подписи, нельзя сообщать код никому. Пароль необходим для проверки подлинности подписи.

Согласно положениям , существует несколько видов ЭП:

1. Простая . Чаще всего используется физическими лицами. Ее можно поставить на документ путем введения специального кода, который предоставляется удостоверяющим центром.
2. Усиленная неквалифицированная . Ее можно получить в следствии криптографического преобразования информации. Она может выявить факт изменения данных после подписания, а также существует механизм идентификации личности, которая поставила подпись под электронным документом.
3. Усиленная квалифицированная . Аналогичная предыдущей, однако используются специальные коды шифрования, которые сертифицированы ФСБ.

Виды электронной подписи

Важно! Заверенные электронной подписью документы обладают аналогичной юридической силой с теми бумагами, которые подписываются лично. Использование усиленной квалифицированной подписи эквивалентно собственноручной подписи с заверением печати.

Область применения

Согласно ФЗ №63, существует несколько областей применения такого рода подписи. В частности, ее используют в следующих случаях:

Где используется	Простая ЭП	Неквалифицированная ЭП	Квалифицированная ЭП
Ведение внутреннего и внешнего документооборота	+	+	+
Арбитражный суд	+	+	+
Заключение договоров с физическими лицами	+	+	+
Работа с контрольно-ревизионными государственными структурами	+		+
Электронные торги			+

Общие понятия электронной подписи

Как начать пользоваться такой подписью

Перед тем, как начать ее использовать, требуется ее оформить. Сделать это можно путем обращения , который имеет лицензию на выдачу ЭП. Для оформления необходимо:

1. Иметь персональный компьютер.
2. Иметь лицензионное программное обеспечение для работы на компьютере.
3. Выбрать лицо, на которое будет оформляться электронная подпись.
4. Определить способ получения подписи и заключить договор с центром.
5. Оплатить услуги и получить ключ.

Как получить квалифицированную электронную подпись

В зависимости от центра, необходимы различные документы. Чаще всего требуется:

1. Заявка установленного образца, где будет минимальная необходимая информация о заявителе (компании в праве запрашивать расширенные анкетные данные).
2. Паспорт заявителя.
3. ИНН и СНИЛС заявителя.
4. Квитанция об оплате услуг удостоверяющего центра.

Если необходим квалифицированный сертификат, то потребуются:

1. Учредительные документы организации.
2. Выписка из ЕГРЮЛ.

Пути получения электронной подписи

Важно! Ключ действует в течение одного года, а при его оформлении обязательно личное присутствие заявителя. Далее требуется продление путем написания соответствующего заявления в удостоверяющий центр. При этом не обязательно личное присутствие в центре, достаточно отправить заявление по электронной почте или заказным письмом. Какие именно условия продления действуют в конкретно взятом центре необходимо уточнять у его специалистов. Чаще всего требуется только произвести оплату за следующий год и предоставить заявление.

Как правильно использовать электронную подпись

Получив желаемый ключ, не все знают, как правильно его использовать. На самом деле все достаточно просто:

1. Установите на свой ПК или ноутбук лицензионное ПО, полученное из удостоверяющего центра.
2. Установите библиотеки «Cadescom» и «Capicom».

Стоит рассмотреть данный момент более подробно.

1. В Word 2007 требуется нажать на значок офиса, выбрать «Подготовить» и «Добавить ЦП». После этого вы добавляете цель подписания документа и выбираете подпись. Нажав на кнопку «Подписать», вы получаете желаемый результат. Подпись документа в Word 2007
2. При работе в Word 2003 необходимо выбрать «Сервис» – «Параметры» – «Безопасность» – «ЦП» – «Сертификат» – «Ок». Подпись документа в Word 2003
3. Для работы с файлами в формате pdf существуют специальные программы типа Acrobat и Adobe reader. Необходимо приобрести полную их версию для работы с ЭП, так как вам требуется криптомодуль. Кнопка подписи документа Схема подписания документа
4. Подпись в HTML варианте также возможна. Современные браузеры приспособлены к работе с ЭП, поэтому у вас будет соответствующая кнопка для подписания документа. Однако необходимо, чтобы установлено все требуемое программное обеспечение на ПК.

Выглядеть данная подпись может по-разному. Чаще всего это небольшое изображение в виде штампа. У государственных организаций она имеет форму печати, где указывается, что электронная печать усилена квалифицированной подписью.

Что делать, если электронная подпись не работает

Существует несколько стандартных ситуаций, когда подпись не работает. Решить типичные проблемы не составляет труда без обращения в службу сервисной поддержки. Рассмотрим основные проблемы.

Проблема	Решение
Сертификат не действителен	Требуется установить его, согласно инструкции специалиста центра, который выдавал сертификат
К сертификату нет доверия	Тогда вам требуется установить новые сертификаты. Обычно они предоставляются вместе с электронной подписью. Также их возможно скачать на официальном сайте центра или Ассоциации торговых площадок
Истек срок действия КриптоПро	Вам требуется ввести уникальный код КриптоПро, который вы получили вместе с электронной подписью
Не установлен Capicom	Скачайте его, закройте браузер и установите программу. Далее необходимо осуществит настройку в соответствии с требованиями площадки, в которой вы собираетесь работать
Несоответствие закрытого ключа заданному сертификату	Стоит обратиться в удостоверяющий центр для решения проблемы. Перед этим настоятельно рекомендуется проверить все закрытые контейнеры. Есть вероятность, что вы выбрали активным не тот
Действительные сертификаты не были обнаружены или не отображается выбор сертификата	Проверьте срок действия вашей лицензии. Если он истек, то обратитесь в центр. Если все в порядке, то переустановите его

Использование электронной подписи

Многие интересуются, можно ли взломать электронную подпись? На самом деле все выполнено таким образом, что подделать ее практически невозможно, если ее владелец умышленно не предоставил третьим лицам к паролям. Чтобы полностью защитить себя от факта мошенничества рекомендуется покупать квалифицированную электронную подпись. Ее возможно использовать при работе с любыми учреждениями.

Где хранится электронная подпись

Чтобы уточнить, какие именно сертификаты установлены на ПК, необходимо войти в свойства браузера. Заходим в свойства браузера

Потом потребуется войти во вкладку «Содержание», выбрав раздел «Сертификаты». Здесь и указана информация обо всех установленных сертификатах. Входим во вкладку «Содержание», выбрав раздел «Сертификаты»

Также возможно найти необходимые сертификаты в реестре. Обычно они расположены по следующему адресу: HKEYLOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsersS-1-5-23…Keys

Особенности хранения электронных документов

Согласно ГОСТ Р 51141-98, электронные документы необходимо хранить столько же, сколько бумажные. Однако существует несколько особенностей. Например, если закон требует хранить документ в течение пяти лет, подпись действует всего год. Согласно ФЗ-63, нет необходимости ставить подпись каждый год на архивных документах. Они продолжают иметь юридическую силу, несмотря на смену кода электронной подписи. Носитель ключа электронной подписи

Важно! при проставлении электронной подписи автоматически прописывается дата, таким образом, становится понятно, что штамп был действителен на момент его проставления. При возникновении различных спорных ситуаций, можно обратиться в удостоверяющий центр. Там, получив требуемые данные, есть возможность проверить, кто именно поставил подпись под текстом документа.

Таким образом, электронная подпись может использоваться наравне с обычной. Сфера ее применения подробно изложена в ФЗ-63. Она охватывает все сферы гражданско-правовых отношений, отношений между юридическими лицами и работу с государственными структурами.

Видео – Электронная цифровая подпись (ЭЦП): регистрация и использование

Видео – Как подписать электронной подписью (ЭЦП) документ Microsoft Word 2007

На сегодняшний момент ЭЦП и ее аналоги все активнее внедряются в жизнь и используются в деловых процессах, несмотря на несовершенство законодательства. В оперативной работе ЭЦП удобна и эффективна, но долговременное хранение документов, подписанных электронной подписью, представляет собой серьезную проблему, которая до конца нигде в мире не решена. Поскольку технология еще очень молода, то и исследований в области обеспечения сохранности электронных документов с ЭЦП немного.

Российские государственные органы, регламентируя оперативную работу с электронными документами, не задумываются, что с ними будет происходить в дальнейшем. При установлении сроков хранения не учитываются их особенности, а зачастую вообще игнорируется их существование. Распространение установленных Законом «Об архивном деле в Российской Федерации» сроков ведомственного хранения на электронные документы неминуемо приведет к потере значительной части информации, поскольку требуется иная организация хранения. Позаботиться о длительном хранении электронных документов нужно в момент их создания.

Есть несколько важных вопросов, которые организации придется решать при долговременном хранения документов с ЭЦП:

• Как обеспечить проверку ЭЦП на протяжении длительного периода времени, и нужно ли это? Как доказывать аутентичность, целостность и т.д. соответствующих электронных документов?

На вопрос о необходимости хранения документов с ЭЦП ответ дает действующее законодательство и нормативные акты, которые предусматривают как минимум среднесрочное (5-10 лет) сохранение электронных документов с возможностью проверки ЭЦП. На большую часть остальных вопросов ответов пока нет, но уже есть требования, которые нужно исполнять.

• Что делать с подписанными электронным образом документами постоянного срока хранения? В отличие от бумажных, которые могут веками лежать на архивных полках, электронные документы не могут храниться в неизменном виде более 7-10 лет. После этого срока или теряет надежность носитель информации, или устаревает оборудование, программное обеспечение или формат, в котором документ записан. Именно поэтому говорить о 75 годах хранения в организации электронных документов просто немыслимо — принимать на хранение будет уже нечего. Только немногие организации располагают кадрами, опытом и ресурсами, необходимыми для организации такой работы.
• ЭЦП не неуязвима, и со временем может быть скомпрометирована и/или подделана. Подделка «старых» ЭЦП может иметь не менее катастрофические последствия, чем подделка действующих. Уже сейчас законодательство допускает подписание цифровой подписью документов, имеющих существенное финансовое и юридическое значение. Нужно подумать о том, как защититься от появления через 10-20 лет массы подложных электронных документов, якобы относящихся к началу 21 века и заверенных «правильными» ЭЦП. Если не позаботиться о соответствующих организационных и иных мерах защиты сегодня, то впоследствии возможны крупные неприятности.

Требования к организации
делопроизводства и документооборота

Для того, чтобы интересы организации были должным образом защищены, необходимо заранее продумать, в каком объеме и каким образом информация об ЭЦП должна быть отражена в самом документе и его метаданных.

Национальные Архивы США еще в 2000 году включили в «Руководство по управлению документами для агентств, использующих электронные подписи» требования о том, что все подписанные электронным образом документы при выводе в человеко-читаемом виде (на бумагу или на экран монитора) должны содержать:

• имя отправителя или лица, который этот документ подписал,
• дату и время подписания,
• ясно сформулированные намерения подписавшего, т.е. текст типа:
  • «одобряю»,
  • «отправитель берет на себя ответственность за транзакцию»,
  • «отправитель уполномочен подписать за кого-то еще» и т.п.

Эти требования нацелены на то, чтобы обеспечить удобство работы с документами в течение длительного времени, в том числе и тогда, когда уже не будет возможности осуществить проверку ЭЦП.

Многие наши организации, расшифровывая ЭЦП, тоже включают в печатный вариант документа данные о лице, его подписавшем, и дату подписания. Третье требование у нас, как правило, не применяется, а жаль — «электронная резолюция», из которой ясны намерения подписавшего, делает документ более «неотказуемым».

Требования к документообороту и к деятельности службы ДОУ направлены на то, чтобы обеспечить сохранение всех необходимых документов. Для этого служба ДОУ организации должна:

• включать в систему документооборота организации все документы, возникающие в процессе использования ЭЦП и инфраструктуры открытых ключей, а также сохранять метаданные, достаточные для поиска и работы с ними;
• сохранять данный набор документов в течение того же периода времени, что и сам документ с ЭЦП.

• не обеспечивается целостность документов, и они могут быть модифицированы пользователем;
• документы доступны только отдельным пользователям, и в результате они не становятся корпоративным ресурсом;
• возникают сложности с установлением для таких документов сроков хранения, проведением экспертизы ценности и выделением их на уничтожение.

Лучше всего организовать хранение всего комплекта документов, связанных с использованием ЭЦП, в системах электронного документооборота, поскольку такие системы позволяют:

• обеспечить защищенное хранение, контроль и протоколирование доступа к ним;
• назначить и отследить сроки хранения;
• провести контролируемое конфиденциальное уничтожение по истечении сроков хранения.

Американские специалисты отмечают, что технологии, связанные с использованием ЭЦП, пока еще очень молоды и не прошли «огонь и воду» судебных разбирательств. Поэтому рекомендуется подумать о том, как «подстелить соломку» и запастись достаточным комплектом документов на тот случай, если придется идти в суд:

Для каждой информационной системы, в которой используется ЭЦП, необходимо разработать политику (регламент) и процедуры. Необходимо описать в деловых и юридических терминах процессы, методы и технологию работы таким образом, чтобы каждая операция была зафиксирована аккуратно, точно и надежно. Поскольку этот документ в случае необходимости придется представлять в суд, в нем не должно быть привилегированной юридической информации, результатов анализа рисков и других конфиденциальных материалов;

Для каждой операции рекомендуется создавать суммарный (итоговый) документ в виде, понятном любому обывателю. Цель создания такого документа — в случае спора или судебного разбирательства доказать суду и участникам судебного процесса, что проведение каждой операции соответствует правилам, регламентам и процедурам, принятым в организации. Он должен быть составлен на языке, «понятном простому человеку», без использования сложных технических терминов и формулировок и содержать следующую информацию:

• сообщение о том, что ЭЦП успешно проверена,
• дату и время проверки документа,
• идентификатор операции,
• ссылку на внутренние нормативные документы, регламентирующие работу (включая дату и версию документа),
• другую информацию, которую организация сочтет необходимым зафиксировать.

Документирование использования
электронно-цифровых подписей
в организации

Любое изменение в системе документооборота организации, как правило, влечет за собой изменение состава документации. Внедрение новых технологий не является исключением: в организациях возникает целый комплект новых, ранее не существовавших документов, которые тоже необходимо брать на учет и сохранять в строгом соответствии с законодательством, с тем, чтобы в любых спорных ситуациях организация могла доказать свою правоту.

В процессе передачи информации могут создаваться и сохраняться следующие документы:

• В организациях-отправителях и получателях:
  • собственно передаваемый документ,
  • сертификат ключа отправителя,
  • запросы/ответы по проверке сертификатов,
  • внутренние нормативные документы, регламентирующие порядок использования сертификатов ключей,
  • соглашения или договора между участниками информационного обмена об использовании ЭЦП,
  • уведомления об отзыве или компрометации сертификатов открытых ключей,
  • квитанции о принятии документа либо об отказе в приеме документа,
  • документы, фиксирующие конфигурацию используемого программного обеспечения,
  • документы по тестированию и проверке программного обеспечения.
• В удостоверяющих центрах:
  • внутренние нормативные документы удостоверяющего центра, определяющие правила работы с сертификатами ключей (в том числе порядок организации выдачи сертификатов и порядок хранения аннулированных сертификатов),
  • реестры сертификатов ключей,
  • списки отозванных и утративших силу сертификатов,
  • документация взаимного удостоверения удостоверяющих центров,
  • протоколы и журналы аудита информационной системы удостоверяющего центра.

Если ЭЦП используется в корпоративной информационной системе и владельцем удостоверяющего центра является одна из организаций — участников информационного обмена, то эта организация должна документировать деятельность своего удостоверяющего центра.

Перечисленные списки документов отражают наиболее простой вариант использования инфраструктуры открытых ключей. Если используются более сложные варианты, то, соответственно, количество документов возрастает.

Правильно задокументировать работу с ЭЦП — задача важная, но еще важнее организовать надежное хранение всех документов, в строгом соответствии с требованиями законодательства. Проблем здесь еще больше, и решить их очень и очень непросто.

Организация хранения документов с ЭЦП

Говорить о применении ЭЦП в отрыве от вопросов организации документооборота и архивного хранения документов, мягко говоря, нелогично, — но почему-то именно так принято поступать. Ни государственные мужи, ни специалисты информационных технологий, как правило, не задумываются о том, что документы нужны не только для оперативной деловой деятельности и управления. Они, помимо прочего, фиксируют разнообразные права и обязательства государства, частных лиц и организаций, произошедшие события, принятые решения и последствия совершенных действий. Такие документы подлежат постоянному или длительному хранению, и вот именно здесь ЭЦП из полезного для оперативной работы инструмента превращается в занозу.

Чем больше электронных документов использует в своей работе организация, тем раньше она сталкивается с проблемами в области документооборота и архивного хранения.

Организации необходимо учитывать требования, которые имеются в законодательных и нормативных актах , регулирующих работу с ЭЦП, по организации хранения ряда документов.

Фрагмент документа

Федеральный закон «Об электронной цифровой подписи» от 10.01.2002 г. № 1-ФЗ Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре 1. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи. 2. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре после аннулирования сертификата ключа подписи должен быть не менее установленного федеральным законом срока исковой давности для отношений, указанных в сертификате ключа подписи. По истечении указанного срока хранения сертификат ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Срок архивного хранения составляет не менее, чем пять лет. Порядок выдачи копий сертификатов ключей подписей в этот период устанавливается в соответствии с законодательством Российской Федерации. 3. Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле.

По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и от наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен будет обеспечить такой же срок хранения своих документов, оборудования и программного обеспечения — и в рабочем состоянии!

Если организация сдает какую-либо отчетность в электронном виде , то необходимо определить порядок ее сохранения в организации, с тем, чтобы обеспечить целостность, подлинность и аутентичность электронных документов.

Фрагмент документа

Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи (утвержден приказом МНС России от 02.04.2002 г. № БГ-3–32/169) 2. 3. При представлении налоговой декларации в электронном виде налогоплательщик соблюдает следующий порядок электронного документооборота: после подготовки информации, содержащей данные налоговой декларации, налогоплательщик подписывает ее ЭЦП уполномоченного лица налогоплательщика и отправляет в зашифрованном виде в адрес налогового органа по месту учета; в течение суток в адрес налогоплательщика налоговый орган высылает квитанцию о приеме декларации в электронном виде. После проверки подлинности ЭЦП уполномоченного лица налогового органа налогоплательщик сохраняет документ в своем архиве.

Пока еще не решен вопрос о том, как государство будет выполнять свои обязанности , вытекающие из ст.15 п.2 Закона об ЭЦП, в соответствии с которой при ликвидации негосударственных удостоверяющих центров их документация, а также обязанности по проверке «старых» подписей (см. ст.4 п.1) переходят к «уполномоченному федеральному органу исполнительной власти». Сейчас вопросами удостоверяющих центров занимается Федеральное агентство по информационным технологиям (ФАИТ) при Мининформсвязи.

В Положении «О Федеральном агентстве по информационным технологиям», утвержденном постановлением Правительства Российской Федерации от 30 июня 2004 г. № 319 в разделе о полномочиях этого органа исполнительной власти записано, что он должен организовывать:

• подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей;
• ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, а также обеспечивает доступ к ним граждан, организаций, органов государственной власти и органов местного самоуправления.

Но вот кто будет отвечать за остальную документацию, кто будет ее хранить и, самое главное, подтверждать подлинность ЭЦП — неясно до сих пор!

В интернете чаще всего можно встретить оптимистические рассказы о том, как хорошо и удобно хранить документы, подписанные ЭЦП. Никаких проблем, одни удобства и сплошное удовольствие:

В се больше российских предприятий внедряют у себя системы электронного документооборота, уже на собственном опыте оценивая преимущества данной технологии работы с документами. Электронный обмен данными осуществляется посредством информационных систем, компьютерных сетей, Интернета, электронной почты и множества других средств.

А электронная подпись - это реквизит электронного документа, предназначенный для защиты информации от подделки.

Использование электронной подписи позволяет:

• принимать участие в электронных торгах, аукционах и тендерах;
• выстраивать взаимоотношения с населением, организациями и властными структурами на современной основе, более эффективно, с наименьшими издержками;
• расширить географию своего бизнеса, совершая в удаленном режиме различные, в том числе экономические, операции с партнерами из любых регионов России;
• значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
• построить корпоративную систему обмена электронными документами (являясь одним из ее элементов).

С использованием электронной подписи работа по схеме «разработка проекта в электронном виде - создание бумажной копии для подписи - пересылка бумажной копии с подписью - рассмотрение бумажной копии» уходит в прошлое. Теперь все можно делать в электронном виде!

Разновидности электронной подписи

Установлены следующие виды , которые регулируются : простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной.

Таблица

Чем различаются между собой 3 вида электронной подписи

Свернуть Показать

Любую электронную подпись подделать очень сложно. А с усиленной квалифицированной подписью (самой защищенной из трех) при современном уровне вычислительных мощностей и требуемых временных ресурсов это сделать просто невозможно.

Простые и неквалифицированные подписи на электронном документе заменяют бумажный документ, подписанный собственноручной подписью, в случаях, оговоренных законом или по согласию сторон . Усиленная квалифицированная подпись может рассматриваться как аналог документа с печатью (т.е. «сгодится» для любых случаев ).

Электронный документ с квалифицированной подписью заменяет бумажный документ во всех случаях, за исключением тех, когда закон требует наличия документа исключительно на бумаге. Например, с помощью таких подписей граждане могут обращаться в государственные органы для получения государственных и муниципальных услуг, а органы государственной власти могут отправлять сообщения гражданам и взаимодействовать друг с другом через информационные системы.

Закрытым ключом подписываем, открытым - проверяем электронную подпись

Чтобы иметь возможность подписывать документы электронной подписью, необходимо иметь:

• ключ ЭП (так называемый закрытый ключ) - с его помощью создается электронная подпись для документа;
• сертификат ключа проверки ЭП (открытый ключ ЭП) - с его помощью проверяется подлинность электронной подписи, т.е. подтверждается принадлежность ЭП определенному лицу.

Организации, которые осуществляют функции по созданию и выдаче сертификатов ключей проверки ЭП, а также ряд иных функций, называются удостоверяющими центрами .

В процессе создания сертификата ключа проверки ЭП каждому пользователю генерируются ключ ЭП и ключ проверки ЭП. Оба этих ключа хранятся в файлах. Для того чтобы никто, кроме владельца подписи, не мог воспользоваться ключом ЭП, его обычно записывают на защищенный ключевой носитель (как правило, совместно с ключом проверки электронной подписи). Его так же, как банковскую карточку, для дополнительной защиты снабжают PIN-кодом . И точно так же, как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи, необходимо ввести правильное значение PIN-кода (см. Рисунок).

Защищенные ключевые носители изготавливаются различными производителями и обычно внешне напоминают флэш-карту. Именно обеспечение пользователем конфиденциальности своего ключа ЭП гарантирует отсутствие возможности у злоумышленников подписать документ от имени владельца сертификата.

Для обеспечения конфиденциальности ключа ЭП необходимо выполнять рекомендации по хранению и использованию ключа ЭП, содержащиеся в документации, как правило, выдаваемой пользователям в удостоверяющем центре, - и вы будете защищены от неправомерных действий, совершаемых с ключом электронной подписи от вашего имени. Лучше всего, если ваш закрытый ключ будет доступен исключительно вам. Эту идею очень важно донести до каждого владельца ключа. Лучше всего этого добиться путем издания инструктивных материалов на данный счет и ознакомления с ними сотрудников под подпись.

Рисунок

Программа запрашивает пароль (PIN-код) для того, чтобы подписать документ электронной подписью при помощи ключа ЭП, содержащегося на подключенной к компьютеру «флэшке»

Свернуть Показать

Пример 1

Фрагмент Руководства по обеспечению безопасности использования квалифицированной электронной подписи ОАО «Электронная Москва»

Свернуть Показать

При создании электронной подписи средства электронной подписи должны:

1. показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
2. создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3. однозначно показывать, что электронная подпись создана.

При проверке электронной подписи средства электронной подписи должны:

1. показывать содержание электронного документа, подписанного электронной подписью;
2. показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
3. указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

Сертификат ключа проверки ЭП содержит всю необходимую информацию для проверки электронной подписи. Данные сертификата открыты и публичны. Обычно сертификаты хранятся в хранилище операционной системы в изготовившем его удостоверяющем центре бессрочно (точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие). В соответствии с положениями Закона № 63-ФЗ удостоверяющий центр , изготовивший сертификат ключа проверки электронной подписи, обязан предоставлять безвозмездно любому лицу по его обращению информацию , содержащуюся в реестре сертификатов, в т.ч. информацию об аннулировании сертификата ключа проверки электронной подписи.

Свернуть Показать

Олег Комарский , IT-специалист

Удостоверяющий центр, выдавший электронную подпись, хранит сертификат ключа проверки этой ЭП бессрочно, точнее, в течение всего времени своего существования. Пока удостоверяющий центр работает, проблем нет, но т.к. центр является коммерческой организацией, он может прекратить свое существование. Таким образом, в случае прекращения деятельности УЦ возникает возможность потери информации о сертификатах, тогда электронные документы, подписанные электронными подписями, выданными закрывшимся УЦ, могут потерять свою юридическую значимость.

В связи с этим планируется создание своего рода государственного хранилища сертификатов (как действующих, так и отозванных). Это будет что-то вроде государственного нотариального центра, где будут храниться данные о всех сертификатах. Но пока такая информация хранится в УЦ бессрочно.

Что нужно учесть работодателю при оснащении своих сотрудников электронными подписями?

В сертификате ключа ЭП обязательно есть информация о Ф.И.О. его владельца , также есть возможность включения дополнительной информации, такой, как название компании и должность . Кроме того, в сертификате могут быть прописаны объектные идентификаторы (OID) , определяющие отношения, при осуществлении которых электронный документ, подписанный ЭП, будет иметь юридическое значение. Например, в OID может быть прописано, что работник имеет право размещать информацию на торговой площадке, но не может подписывать договоры. Т.е. с помощью OID можно разграничивать уровень ответственности и полномочий.

Существуют свои тонкости передачи полномочий при увольнении или переходе работников на другую должность. Их следует учитывать.

Пример 2

Свернуть Показать

При увольнении коммерческого директора Иванова, подписывавшего документы электронной подписью, для нового человека, сменившего Иванова в этом кресле, нужно заказывать новый ключевой носитель для работы с ЭП. Ведь не может Петров подписывать документы подписью Иванова (хоть и электронной).

Обычно при увольнении организуется перевыпуск ключей ЭП; как правило, для этого работники сами посещают удостоверяющий центр. Организация, оплачивающая выпуск ключей, тоже является владельцем ключа, поэтому она имеет право приостанавливать действие сертификата. Таким образом минимизируются риски: исключается ситуация, когда уволенный работник мог бы подписывать документы от имени прежнего работодателя.

Свернуть Показать

Наталья Храмцовская , к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО, член ГУД и ARMA International

Эффективная деловая деятельность организации зависит от многих факторов. Одним из ключевых элементов всей системы управления является принцип взаимозаменяемости сотрудников. Следует заранее подумать о том, кто подменит сотрудников, временно не исполняющих свои должностные обязанности из-за болезни, командировки, отпуска и т.д. Если ваша организация имеет дело с подписанием документов электронными подписями, этот аспект нужно учитывать отдельно. Тот, кто пренебрежительно относится к данному организационному вопросу, рискует нарваться на серьезные неприятности.

Показательным в данном смысле является дело № А56-51106/2011, которое рассматривал Арбитражный суд города Санкт-Петербурга и Ленинградской области в январе 2012 года.

Как возникла проблема:

• ООО «Сбытовое Объединение «Тверьнефтепродукт» в июле 2011 года подало единственную заявку на участие в открытом аукционе в электронной форме на поставку бензина по топливным картам для Верхне-Волжского отделения Федерального государственного бюджетного научного учреждения «Государственный научно-исследовательский институт озерного и речного рыбного хозяйства» (ФГНУ «ГосНИОРХ»). Аукционная комиссия заказчика приняла решение о заключении государственного контракта с единственным участником аукциона.
• Проект государственного контракта был направлен заказчиком оператору электронной площадки 12 июля 2011 года, а тот передал его в ООО. В установленный законодательством срок ООО не направило оператору электронной площадки проект контракта, подписанный электронной подписью лица, имеющего право действовать от имени участника размещения заказа, т.к. это должностное лицо было на больничном.
• В июле 2011 года Санкт-Петербургским Управлением Федеральной антимонопольной службы (УФАС) были рассмотрены представленные заказчиком сведения об уклонении ООО от заключения контракта и было принято решение о включении того в реестр недобросовестных поставщиков.

Не согласившись с решением УФАС, ООО обратилось в суд. Все три судебные инстанции сочли ООО виновным в уклонении от заключения контракта. А в последней инстанции в октябре 2012 года выплыло, что ООО обращалось к заказчику 10 августа 2011 года и в качестве причины неподписания контракта называло не болезнь своего сотрудника, а его халатность.

Другой интересный случай произошел при подписании государственного контракта электронной подписью неуполномоченного лица. Это дело Арбитражный суд Калужской области рассматривал в сентябре 2011 года (дело №А23-2637/2011).

Обстоятельства были таковы:

• В марте 2011 года ООО «СЭЛ ТЕХСТРОЙ» было признано победителем открытого аукциона. К этому моменту в ООО произошла смена генерального директора: прежний гендир В. стал заместителем нового гендиректора П. Но новому генеральному директору еще не успели оформить ЭЦП. Поэтому 14.03.2011 решили «упростить себе жизнь» и подписать госконтракт при помощи ЭЦП ушедшего со своего поста В. Однако главная ошибка была в том, что В. подписал документ как генеральный директор ООО «СЭЛ ТЕХСТРОЙ».
• Сведения об освобождении от должности генерального директора В. и назначении генеральным директором П., а также доверенность на осуществление действий от имени участника размещения заказа, выданная В. уже как заместителю генерального директора, были размещены на сайте электронной торговой площадки только 24.03.2011, т.е. после подписания и направления контракта заказчику.
• Эту оплошность заметил заказчик, посчитав, что контракт подписан неуполномоченным лицом, и в апреле 2011 года обратился в УФАС. В результате УФАС включило ООО в реестр недобросовестных поставщиков сроком на 2 года из-за уклонения от заключения госконтракта.

При рассмотрении данного дела в первой судебной инстанции суд отметил, что новый генеральный директор общества П. в своих объяснениях УФАС, во-первых, подтвердил готовность к подписанию госконтракта, во-вторых, признал допущенную ошибку, не оспаривая при этом полномочий В., указанных в доверенности. Кроме того, факт размещения доверенности на официальном сайте электронной площадки, пусть и с опозданием, был расценен судом как активные действия общества по устранению допущенной ошибки. В результате Арбитражный суд обязал УФАС исключить ООО из реестра недобросовестных поставщиков. В декабре 2011 года Двадцатый арбитражный апелляционный суд поддержал позицию суда первой инстанции.

Но Федеральный арбитражный суд Центрального округа в марте 2012 года рассудил иначе. По его мнению, 14.03.2011 В. использовал ЭЦП с нарушением положений ст. 4 Федерального закона «Об электронной цифровой подписи» и условий, указанных в сертификате ключа подписи (ведь электронный документ с ЭЦП, не соответствующей условиям, внесенным в сертификат, не имеет юридического значения). В итоге суд сделал вывод о том, что государственный контракт был подписан неуполномоченным лицом, и признал правомерным решение УФАС о признании ООО недобросовестным поставщиком.

Аналогичные дела часто рассматриваются судами. То директор, обладающий сертификатом ключа ЭП и имеющий право подписывать документы от имени общества, увольняется, а новый директор не успевает изготовить себе ЭП и вовремя подписать контракт. То пытаются подписать документы подписью уже уволившегося сотрудника (или переведенного на иную должность в той же организации). То возникают проблемы с халатностью сотрудников или их болезнью (как в первом из описанных случаев), и опять вовремя не успевают делегировать полномочия другому лицу и оформить ему ЭП. А результат один - организация попадает в список недобросовестных поставщиков и лишается права заключения контрактов, финансируемых из бюджета.

Получение работником организации ключа ЭП, обеспечение его сохранности и действия с ним обычно регламентируются приказом по организации с утверждением инструктивных материалов. В них определяется порядок применения ключей ЭП для подписания документов, получения, замены, аннулирования сертификата ключа проверки ЭП, а также действия, выполняемые при компрометации ключа ЭП. Последние аналогичны действиям, выполняемым при потере банковской карты.

Как выбрать удостоверяющий центр?

Законом № 63-ФЗ предусмотрено разделение удостоверяющих центров на прошедших и не прошедших процедуру аккредитации (сейчас ее осуществляет Министерство связи и массовых коммуникаций РФ). Аккредитованному удостоверяющему центру выдается соответствующее свидетельство, и для получения квалифицированного сертификата ключа проверки ЭП необходимо обращаться именно в такой УЦ. Неаккредитованные УЦ могут выдавать только другие виды подписей.

При выборе УЦ следует учитывать, что не каждый из них использует все возможные криптопровайдеры. То есть, если партнерам, организующим электронный документооборот, нужны электронные подписи, сгенерированные с использованием конкретного криптопровайдера, то следует выбирать удостоверяющий центр, работающий именно с данным средством криптографической защиты информации (СКЗИ).

Процедура получения ЭП и необходимые документы

Чтобы организовать обмен электронными документами между организациями, необходимо выполнить следующие действия:

• определить цели и специфику документооборота между вашей и другой организацией. Это должно быть оформлено в виде соглашения или договора, в котором определяются и регламентируются операции и состав документов с электронной подписью, передаваемых в электронном виде (такие типовые договоры подписывают, например, банки с клиентами, разрешая пользоваться системой клиент-банк);
• совершить обмен сертификатами ключей проверки ЭП лиц, документы за подписью которых будут передаваться между организациями. Понятно, что получить такие сертификаты партнеры могут не только друг от друга, но и от удостоверяющего центра, осуществившего выпуск данных сертификатов;
• выпустить внутренние инструкции, регламентирующие порядок передачи и приема электронных документов другой организации, включая порядок проверки электронной подписи полученных документов и действия в случае выявления факта внесения изменений в документ после подписания его электронной подписью.

Для изготовления ключей электронной подписи и сертификатов ключей проверки ЭП пользователи должны предоставить в удостоверяющий центр заявительные документы, документацию, подтверждающую достоверность информации, подлежащую включению в сертификат ключа проверки ЭП, а также соответствующие доверенности.

Для обеспечения должного уровня идентификации пользователя процедура получения сертификатов ключей проверки ЭП требует личного присутствия его владельца.

Правда, есть и исключения. Например, сегодня для сотрудников государственных и бюджетных организаций, а также работников органов исполнительной власти города Москвы удостоверяющим центром ОАО «Электронная Москва» разработана система массовой выдачи сертификатов ключей проверки электронной подписи (СКПЭП), которая при сохранении высокого уровня достоверности идентификации пользователя позволяет сделать необязательным посещение удостоверяющего центра каждым сотрудником лично, что существенно сокращает денежные и временные затраты организации по сравнению с выдачей СКПЭП, организованной по традиционной схеме.

Сколько стоит электронная подпись?

Ошибочно считать, что удостоверяющий центр просто продает носители для хранения ключей и сертификатов, услуга является комплексной, и носитель с ключевой информацией является одной из составляющих. Стоимость полного пакета электронной подписи зависит от:

• региона;
• ценовой политики удостоверяющего центра;
• разновидности подписи и области ее применения.

Как правило, в этот пакет входят:

• услуги удостоверяющего центра по изготовлению сертификата ключа проверки ЭП;
• передача прав использования соответствующего программного обеспечения (СКЗИ);
• обеспечение получателя необходимым программным средством для работы;
• поставка защищенного ключевого носителя;
• техническая поддержка пользователей.

В среднем стоимость варьируется от 3 000 до 20 000 рублей на полный пакет с одним носителем ключевой информации. Понятно, что при заказе организацией десятка или сотни сертификатов ключей для своих сотрудников цена на одного «подписанта» будет существенно ниже. Перевыпуск ключей осуществляется через год.

В настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты. Электронную подпись широко внедряют как в государственных организациях, так и на предприятиях частного бизнеса. При этом необходимо учитывать, что разные виды ЭП имеют разную стоимость, что документ, заверенный ЭП, является юридически значимым, поэтому передача ключевых носителей вместе с PIN-кодом другим лицам недопустима.

Самое важное: электронная подпись существенно экономит время, избавляя от бумажной волокиты, что крайне актуально в условиях жесткой конкуренции и при удаленном расположении партнеров.

Проблема пока остается только в плоскости подтверждения подлинности такой подписи и документа с ней на протяжении его длительного срока хранения.

Сноски

Свернуть Показать

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код - комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен , eToken , JaCarta . Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука - популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной ЭП

Один носитель - для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись - это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье .

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

Не храните пароли на бумажках
Это правило - основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.

Алена, я конечно понимаю, что статья носит несколько "общеознакомительный" характер, но все же стоит более широко осветить список "достоинств и недостатков" каждого решения. Я ничуть не опровергаю конечный вывод о большей надежности smartcards, но потенциально они создают куда больше сложностей чем банальное "предполагает дополнительные расходы".

По ключам на локальном компьютере

Это не так. Используемый по умолчанию в Windows RSA-криптопровайдер хранит использует для хранения закрытых ключей папку C:\Users\\AppData\Roaming\Microsoft\Crypto\RSA.

Т.е. располагает их в перемещаемой части профиля, а значит, если пользователь работает за разными машинами в пределах корпоративной сети, ему достаточно будет настроить перемещаемый профиль и устанавливать сертификаты на каждую машину нет нужды.

По использованию токенов

Тут нужно понимать, что у разных производителей данная функциональность реализуется по-разному. У одних клавиатура по вводу PIN-кода расположена прямо на самом устройстве, у дригих используется специализированное ПО на компьютере.

В первом случае устройство получается более громоздким, но более защищенным от перехвата PIN-кода, который может быть считан установкой программного или аппаратного кейлоггера на машине пользователя, в случае использования ПО ввода.

В частности Rutoken использует именно ПО для ввода PIN-кодов, а значит потенциально уязвим.

Верно, сертификаты устанавливать не надо, зато нужно устанавливать драйверы устройств, криптопровайдеры и другие модули.

А это дополнительное низкоуровневое ПО со своими специфическими особенностями и проблемами.

Да, это верно, но только при условии, что вы используете криптофункции самого устройства (т.е. все шифрование и подписание выполняет сам токен).

Это самый безопасный вариант, но у него есть ряд ограничений:

• релизуемые алгоритмы. Например, тот же Rutoken (если судить по их документации) аппаратно поддерживает только ГОСТ 28147-89. Все остальные алгоритмы, по всей видимости реализуются уже программно, т.е. с извлечением закрытого ключа из хранилища.
• скорость интерфейсов. Простые smartcards реализуют, как правило не самые быстрые аппаратные интерфейсы (скорее всего в целях упрощения и удешевления устройства), например USB 1.1. А так как для подписания/шифрования вам нужно передать на устройство весь файл, это может стать причиной неожиданных "тормозов".

Однако (опять-таки, судя по документации Rutoken) токены могут выступать и просто как шифрованные хранилища. Например, так они работают в связке с КриптоПро CSP. Ну а дальше вывод очевиден - раз одно ПО может получить доступ к ключам, значит это может сделать и другое.

Дополнительные вопросы

К списку выше нужно добавить еще некоторые вопросы, которые также следует учитывать при принятии решения о переходе на токены:

• каким образом реализуется обновление сертификатов? Например, ни на сайте Rutoken (в общих разделах и форуме), ни в документации я не нашел упоминания о поддержке Rutoken-ом службы распространения ключей Active Directory. Если это так (и сам Rutoken не предоставляет других механизмов массового обновления ключей), то все ключи нужно обновлять через администраторов, что порождает свои проблемы (т.к. операция не тривиальная).
• какое ПО, используемое на предприятии и требующее криптофункций:
  • может работать через криптопровайдер (некоторое ПО использует собственную реализацию криптоалгоритмов и требует только доступа к ключам)
  • может использовать криптопровайдеры, отличные от стандартных
• какое дополнительное ПО (помимо драйверов токена) потребуется установить на рабочих станциях и серверах. Например, стандартный центр сертификатов Microsoft не поддерживает создание ключей для алгоритмов GOST, (а с другими токен может и не работать).